La Comisión Europea ha publicado unas directrices para aclarar las obligaciones de los proveedores de modelos de IA de propósito general (GPAI) según la Ley de IA, obligaciones que entrarán en vigor el próximo 2 de agosto, tal y como establece en su calendario de aplicación el artículo 113 del Reglamento (UE) 2024/1689 de Inteligencia Artificial (RIA).
Los modelos GPAI no están limitados a cumplir una función específica, sino que están diseñados para realizar una gran variedad de tareas: generar texto o imágenes, traducir idiomas, programar, razonar o recomendar contenido. Se entrenan con enormes volúmenes de datos y se integran en sectores como salud, educación, justicia, finanzas o comunicación.
Las directrices de la CE complementan el Código de Prácticas GPAI, una herramienta voluntaria para facilitar el cumplimiento. En ellas se establecen criterios para indicar cuándo un modelo es de propósito general y quiénes deben cumplir las obligaciones, lo que ayuda a los actores del ecosistema IA a entender sus responsabilidades. En general deben cumplirlas solo los desarrolladores que realicen modificaciones significativas en los modelos de IA.
El 2 de agosto entran en vigor apartados entre los que se encuentra el régimen supervisor y sancionador aplicable al artículo 5 del RIA, que define una serie de prácticas de IA consideradas como riesgo inaceptable y que quedan prohibidas dentro de la UE, con el fin de proteger la seguridad, los derechos fundamentales y la privacidad de las personas frente a usos concretos de inteligencia artificial, entre los que también se encuentran los sistemas de identificación biométrica remota en tiempo real en espacios públicos.
Este artículo 5 del RIA contempla como usos prohibidos, además, los sistemas de IA que manipulan decisiones de las personas o explotan sus vulnerabilidades, los sistemas que evalúan o clasifican a las personas en función de su comportamiento social o sus rasgos personales, y los sistemas que predicen el riesgo de que una persona cometa un delito. Igualmente prohíbe los sistemas de IA que extraigan imágenes faciales de Internet, infieran en emociones en el lugar de trabajo o en instituciones educativas y clasifiquen a las personas en función de sus datos biométricos.
Algunas excepciones a todas estas prohibiciones están relacionadas con fines policiales, como la búsqueda de personas desaparecidas o la prevención de atentados terroristas, aunque la utilización de la identificación biométrica a distancia en tiempo real en espacios accesibles al público estará sujeta a una autorización previa concedida por una autoridad judicial.
Aunque en España aún no se ha aprobado el anteproyecto de ley de IA y la Agencia Española de Protección de Datos (AEPD) no tiene todavía atribuida formalmente la condición de autoridad de vigilancia del mercado a efectos del RIA, sí es competente esta Agencia para realizar labores de supervisión y control de aquellos tratamientos realizados mediante IA en la medida en que afecten al derecho a la protección de datos. Y recomienda a las entidades que proporcionen servicios basados en sistemas de IA, en cuanto estén obligadas por la futura plena aplicación del RIA, que tomen las medidas adecuadas para garantizar su pleno cumplimiento.
En previsión de futuras funciones atribuidas por el RIA, la AEPD va a necesitar el refuerzo de sus capacidades técnicas, humanas y presupuestarias que supone asumir estas nuevas funciones.
Siguiendo el calendario del artículo 113 del RIA, la comisión empezará a aplicar sanciones por incumplimiento a partir del 2 de agosto del próximo año, y en 2027 se exigirá el cumplimiento para modelos GPAI ya comercializados.
Fuentes: https://digital-strategy.ec.europa.eu/en/policies/guidelines-gpai-providers y https://www.aepd.es/prensa-y-comunicacion/notas-de-prensa/la-aepd-recuerda-que-ya-puede-actuar-ante-sistemas-de-ia
░ Imagen de Randa Marzouk en Unsplash
